Vue d’ensemble de la suppression réversible d’Azure Key Vault
Important
Si aucune protection de suppression réversible n’est activée pour un coffre de clés, la suppression d’une clé la supprime définitivement. Les clients sont fortement encouragés à activer l’application de la suppression réversible pour leurs coffres via Azure Policy.
Important
Quand un coffre de clés fait l’objet d’une suppression réversible, les services intégrés à ce coffre sont supprimés, par exemple, les attributions de rôles Azure RBAC et les abonnements à Event Grid. La récupération d’un coffre de clés ayant fait l’objet d’une suppression réversible ne restaure pas ces services. Ils devront être recréés.
La fonctionnalité de suppression réversible de Key Vault permet la récupération des coffres et des objets de coffres supprimés (par exemple, des clés, secrets ou certificats). Nous aborderons en particulier les scénarios suivants. Cette sécurité offre les protections suivantes :
- Une fois qu’un secret, une clé, un certificat ou un coffre de clés a été supprimé, il reste récupérable pendant une période configurable de 7 à 90 jours calendrier. Si aucune configuration n’est spécifiée, la période de récupération par défaut est fixée à 90 jours afin de fournir aux utilisateurs suffisamment de temps pour remarquer une suppression accidentelle d’un secret et y réagir.
- Deux opérations doivent être effectuées pour supprimer définitivement un secret. Tout d’abord, un utilisateur doit supprimer l’objet, ce qui place ce dernier dans l’état de suppression réversible. Ensuite, l’utilisateur doit supprimer définitivement l’objet qui se trouve à l’état de suppression réversible. Ces protections réduisent le risque qu’un utilisateur supprime accidentellement ou malicieusement un secret ou une key vault.
- Pour purger un secret, une clé ou un certificat en état de suppression souple, un principal de sécurité doit se voir accorder l’autorisation de l’opération de « purge » (avec, par exemple, le rôle intégré Key Vault« Opérateur de purge Key Vault »).
Prise en charge des interfaces
La fonctionnalité de suppression réversible est disponible par le biais de l’API REST, d’Azure CLI, d’Azure PowerShell, des interfaces .NET/C# et des modèles Resource Manager.
Scénarios
Les coffres Azure Key Vault désignent des ressources suivies, gérées par Azure Resource Manager. Azure Resource Manager spécifie également un comportement bien défini pour la suppression, qui suppose qu’une opération DELETE correctement exécutée sur une ressource ne permet plus d’accéder à cette ressource. La fonctionnalité de suppression réversible permet la récupération de l’objet supprimé en cas de suppression accidentelle ou intentionnelle.
Dans le scénario typique, un utilisateur supprime par inadvertance une key vault ou un objet de key vault ; si cette key vault ou cet objet de key vault était récupérable pendant une période prédéterminée, l’utilisateur peut annuler la suppression et récupérer ses données.
Dans un autre scénario, un utilisateur non autorisé peut tenter de supprimer un coffre Key Vault ou un objet Key Vault, par exemple une clé se trouvant à l’intérieur d’un coffre, pour provoquer une interruption de service. Le fait de séparer la suppression du coffre Key Vault ou de l’objet Key Vault de la suppression effective des données sous-jacentes peut renforcer la sécurité, par exemple en limitant les autorisations de suppression de données à un autre rôle approuvé. Cette approche suppose d’appliquer un quorum à une opération donnée qui pourrait, dans d’autres circonstances, se traduire par une perte de données immédiate.
Comportement de la suppression réversible
Lorsque la suppression réversible est activée, les ressources marquées comme supprimées sont conservées pendant une période déterminée (90 jours par défaut). Le service fournit en outre un mécanisme de récupération de l’objet supprimé, qui a essentiellement pour effet d’annuler la suppression.
Lors de la création d'un nouveau coffre de clés, la suppression réversible est activée par défaut. Une fois la suppression réversible activée sur un coffre de clés, elle ne peut pas être désactivée.
L’intervalle de la stratégie de rétention ne peut être configuré que lors de la création du coffre de clés et ne peut plus être modifié par la suite. Vous pouvez définir cette période entre 7 et 90 jours, avec 90 jours comme valeur par défaut. Ce même intervalle s’applique aussi bien à la suppression réversible qu’à la stratégie de rétention pour la protection contre la suppression définitive.
Vous ne pouvez pas réutiliser le nom d’une key vault qui a été supprimée de manière souple, tant que la période de rétention n’est pas expirée.
Protection contre le vidage
La protection contre le vidage est un comportement facultatif de Key Vault et n’est pas activée par défaut. La protection contre le vidage ne peut être activée qu’une fois que la suppression réversible est activée. La protection contre le vidage est recommandée lors de l’utilisation de clés pour le chiffrement afin d’éviter la perte de données. La plupart des services Azure qui s’intègrent à Azure Key Vault, comme Stockage, nécessitent une protection contre le vidage pour empêcher la perte de données.
Lorsque la protection contre la suppression définitive est activée, il n’est pas possible de purger un coffre ou un objet à l’état supprimé avant la fin de la période de rétention. Après une suppression réversible, les coffres et objets restent récupérables pour garantir le respect de la stratégie de rétention.
La durée de rétention par défaut est de 90 jours, mais il est possible de définir l’intervalle de la stratégie de rétention sur une valeur comprise entre 7 et 90 jours via le portail Azure. Une fois l’intervalle de la stratégie de conservation défini et enregistré, il n’est plus possible de le modifier pour ce coffre.
La protection contre la purge peut être activée via CLI, PowerShell ou Portail.
Suppression définitive autorisée
Il est possible de supprimer ou vider définitivement un coffre Key Vault en exécutant une commande POST sur la ressource de proxy. Cette opération nécessite des privilèges spéciaux. En général, seul le propriétaire de l’abonnement ou un utilisateur avec le « rôle RBAC Opérateur de purge Key Vault » peut purger une key vault. L’opération POST déclenche la suppression immédiate et irrécupérable de ce coffre,
Les exceptions sont les suivantes :
- Lorsque l’abonnement Azure est marqué comme intransférable. Dans ce cas, seul le service peut alors effectuer la suppression, dans le cadre d’un processus planifié.
- Lorsque l’argument
--enable-purge-protection
est activé sur le coffre lui-même. Si ce cas se présente, un délai de 7 jours à partir du moment où l’objet de secret d’origine a été marqué pour suppression est nécessaire avant que le coffre Key Vault le supprime définitivement.
Pour connaître les étapes à suivre, consultez Guide pratique pour utiliser la suppression réversible Key Vault avec l’interface CLI : Vidage d’un coffre de clés ou Utilisation de la suppression réversible Key Vault avec l’interface PowerShell : Vidage d’un coffre de clés.
Récupération d’un coffre de clés
Quand un coffre de clés est supprimé, le service crée une ressource proxy sous l’abonnement, en y ajoutant suffisamment de métadonnées pour permettre la récupération. La ressource de proxy est un objet stocké, disponible au même emplacement que le Key Vault supprimé.
Récupération d’objets d’un coffre de clés
Lorsqu’un objet de key vault, tel qu’une clé, est supprimé, le service place l’objet dans un état supprimé, le rendant inaccessible à toute opération de récupération. Dans cet état, l’objet de coffre de clés peut être seulement listé, restauré ou supprimé de façon forcée ou permanente. Pour afficher les objets, utilisez la commande Azure CLI az keyvault key list-deleted
(comme documenté dans Guide pratique pour utiliser la suppression réversible Key Vault avec l’interface CLI) ou la commande Azure PowerShell Get-AzKeyVault -InRemovedState
(comme décrit dans Utilisation de la suppression réversible Key Vault avec l’interface PowerShell).
Dans le même temps, Key Vault planifiera la suppression des données sous-jacentes correspondant au Key Vault ou à l’objet Key Vault supprimé afin qu’elle soit exécutée après un intervalle de rétention prédéterminé. L’enregistrement DNS correspondant au coffre est également conservé pendant l’intervalle de conservation.
Période de rétention de la suppression réversible
Les ressources ayant fait l’objet d’une suppression réversible sont conservées pendant une durée fixée à 90 jours. Au cours de la période de rétention de la suppression réversible :
- Vous pouvez répertorier tous les coffres Key Vault et les objets Key Vault à l’état de suppression réversible pour votre abonnement, et accéder aux informations concernant leur suppression et leur récupération.
- Seuls les utilisateurs disposant d’autorisations spéciales peuvent répertorier des coffres supprimés. Nous recommandons à nos utilisateurs de créer un rôle personnalisé avec ces autorisations spéciales pour le traitement des coffres supprimés.
- Vous ne pouvez pas créer un coffre de clés du même nom au même emplacement ; de même, vous ne pouvez pas créer objet de coffre de clés dans un coffre donné si celui-ci contient un objet portant le même nom et qui est dans un état supprimé.
- Seul un utilisateur disposant de privilèges spécifiques peut restaurer un coffre Key Vault ou un objet Key Vault en exécutant une commande de récupération sur la ressource de proxy correspondante.
- L’utilisateur membre du rôle personnalisé qui est autorisé à créer un coffre sous le groupe de ressources peut restaurer le coffre.
- Seul un utilisateur disposant de privilèges spécifiques peut forcer la suppression d’un coffre Key Vault ou d’un objet Key Vault en exécutant une commande de suppression sur la ressource de proxy correspondante.
Sauf en cas de restauration d’un coffre de clés ou d’un objet de coffre de clés, à la fin de l’intervalle de rétention, le service vide le coffre de clés ou l’objet de coffre de clés qui a fait l’objet d’une suppression réversible, ainsi que son contenu. La suppression de la ressource ne peut pas être replanifiée.
Implications de facturation
En général, lorsqu’un objet (un coffre de clés, une clé ou un secret) est dans un état supprimé, seules deux opérations sont possibles : « vider » et « récupérer ». Toutes les autres opérations échoueront. Par conséquent, même si l’objet existe, aucune opération ne peut être effectuée et, par conséquent, aucune utilisation n’a lieu. Il n’y aura donc aucune facture. Il y a toutefois des exceptions :
- les actions « vider » et « récupérer » seront comptabilisée dans les opérations de coffre de clés normales et facturées.
- Si l’objet est une clé HSM, les frais de 'Clé protégée par HSM' par version de clé et par mois seront appliqués si une version de la clé a été utilisée au cours des 30 derniers jours. Après cela, dans la mesure où l’objet est dans un état supprimé, il ne peut faire l’objet d’aucune opération et, par conséquent, aucun frais ne s’applique.
Étapes suivantes
Les trois guides ci-après présentent les principaux scénarios d’usage de la suppression réversible.